Ostatni tydzień nie należał do najprzyjemniejszych dla wszystkich korzystających na co dzień z popularnych mediów społecznościowych. W niedzielę wielkanocną doszło do ogromnego wycieku danych 533 mln użytkowników Facebooka, w tym 2,7 mln kont z Polski. Na kolejne złe wieści nie trzeba było długo czekać, gdyż zaledwie kilka dni później do poszkodowanych serwisów dołączył także LinkedIn z podobną pulą, wynoszącą nieco ponad 500 mln. Teraz, do tej niechlubnie ciągnącej się listy, należy dopisać także Clubhouse.
Na każdego przyjdzie pora
Pomimo początkowych wątpliwości związanych z domniemanym dostępem do danych wszystkich użytkowników Clubhouse przez chiński rząd, aplikacji udawało się pozostawać w miarę bezpieczną przystanią, głównie dzięki szczelnie zamkniętej infrastrukturze urządzeń Apple. Jednak dla osób o wątpliwych moralnie intencjach nie stanowi to żadnej przeszkody, a powtarzane jak mantra słowa fanatyków nadgryzionego jabłka o wyższości zabezpieczeń jednego systemu nad drugim, można włożyć między bajki.
W opublikowanej na szerzej znanym forum hakerskim bazie danych można odnaleźć wpisy dotyczące szczegółowych informacji o kontach należących do aż 1,3 mln użytkowników platformy. Wśród nich znalazły sie między innymi:
- nazwy użytkowników i ich unikatowe identyfikatory,
- imiona i nazwiska,
- adresy URL zdjęć profilowych,
- linki do powiązanych kont, w tym Twittera i Instagrama,
- liczba obserwujących i obserwowanych profili,
- lista użytkowników, którym podarowaliśmy zaproszenia,
- data i czas założenia konta.
Przedstawiciele Clubhouse zapewniają, że w ręce hakerów nie trafiły wysoce wrażliwe dane, takie jak stosowane przez użytkowników formy płatności. Mimo to, wszystkie wyżej wspomniane punkty są wystarczające, aby osoba z odpowiednimi umiejętnościami przy ich pomocy dokonała wyłudzenia informacji (phisihingu) lub ataku typu brute force na zarejestrowanych profilach. W najgorszym możliwym wypadku istnieje możliwość kradzieży tożsamości poprzez zastosowanie technik inżynierii społecznej.
Co zrobić, kiedy jest się ofiarą wycieku danych?
Na dobry początek warto sprawdzić, czy nasze dane w ogóle trafiły w niepożądane ręce. Służą do tego narzędzia, takie jak Have I Been Pwned lub Firefox Monitor, które przeszukują internetowe bazy danych w poszukiwaniu tych należących do nas.
Jeżeli przypuszczenia niestety okażą się prawdziwe, należy jak najszybciej zmienić hasło na nowe. Warto pamiętać, aby hasło było wystarczająco długie i zawierało małe i duże litery, cyfry oraz znaki specjalne. Największym błędem popełnianym przez ludzi jest używanie tego samego hasła do różnych stron, każde powinno być unikatowe i nieszablonowe. Nie zaszkodzi rozejrzenie się w poszukiwaniu odpowiedniego menedżera haseł, zamiast przechowywać je w przeglądarce internetowej.
Dobrym krokiem w kierunku zwiększenia bezpieczeństwa jest, w miarę możliwości, korzystanie z uwierzytelniania dwuskładnikowego, najlepiej w postaci fizycznego klucza bezpieczeństwa, choć każdy sposób sprawdzi się do pewnego stopnia.